Chặn GeoIP với nftables và MaxMind GeoLite2 cho phép bạn drop traffic từ toàn bộ dải IP của một quốc gia ngay tại tầng tường lửa, trước khi chạm đến ứng dụng. Hướng dẫn này bao gồm toàn bộ thiết lập: tải database, trích xuất dải IP theo quốc gia, nạp vào nftables set, và tự động hóa cập nhật hai tuần một lần bằng systemd và cron.